万豪国际泄露事件后续——简单调查与建议

事件描述

事情发生的太突然，美国媒体也毫不留情的报道，说到严重性，yahoo泄露的30亿用户数据，也就是黑客拿来撞撞库而已，电子邮件诈骗(成功概率比较低)。这次公告的泄密内容包含：姓名、邮寄地址、手机号(诈骗)、email、护照号(伪造)、SPG俱乐部账号、出生日期、到达和离去的时间(查出轨)、支付卡信息、cvv号(请注意国外信用卡都是没有密码的，知道cvv通过伪造卡就可以直接刷的)。这全球5亿账号价值很高。还有一点，公告当中还强调支付卡号、cvv是用AES-128做的加密、需要两项密钥才能打开，但是他没有提及流动的数据如何加密的。

就像漏洞一样，我们已经把这次数据泄露安全事件定级为最高等级。所以我们有必要分析一下，数据是如何被泄密以及针对ToB企业如何防范泄密。

如何防范数据泄露?

※ 针对万豪的IT基础架构、防入侵架构和基本的数据安全。

我们防御的整体思路如下：

1. 寻找敏感数据

自定义，由用户的业务人员对数据进行分级

利用AI技术对现有数据扫描做分类，最简单分为涉密、不涉密两类

2. 数据访问关联到人

任何一个可以接触到敏感数据的人都要监控起来

对全网做30天的数据访问做风险评估，看看数据是如何使用，并且数字化。

3. 做好业务API调用审计

不仅仅是只在数据库审计那边做API调用审计，针对所有API做审查，因为这些接口很有可能是流动者解密后的敏感数据

4. 数据安全态势感知

对所有基础安全数据做关联分析，包括黑客入侵检测设备告警：HIDS、NIDS、EDR、NTA、威胁情报、沙箱等，数据安全相关的告警：KMS API调用、数据库审计日志、业务系统API调用日志，以及在数据基础建设和做的机器学习分析告警结果，都要综合关联才有可能发现黑客入侵并且盗用敏感数据的蛛丝马迹。